Mit DNSSEC die Identität im Internet schützen
Nur wenige Domain-Betreiber nutzen kryptografische Signaturen für DNS – aus Gründen, die auf Mythen basieren. Wir klären die gängigen Vorurteile.
- Patrick Ben Koetter
Im Internet funktioniert fast nichts ohne DNS. Es ist nach IP das zweitwichtigste Core-Protokoll. Will ein Client eine Verbindung zu einem Server aufbauen, versucht dieser zunächst, den Namen des Dienstes in eine IP-Adresse zu übersetzen, damit er den Server unter dieser Adresse kontaktieren kann. Weil dieser Übersetzungsvorgang – die Namensauflösung – vor der eigentlichen Nutzung des Dienstes steht, soll diese möglichst schnell stattfinden.
Aus diesem Grund haben die Erfinder des DNS damals UDP als Übertragungsprotokoll gewählt. Das kommt ohne den verbindungsbezogenen Overhead des TCP aus und ist so prinzipbedingt schneller. Client und Server sind sich jedoch nicht sicher, ob alle Pakete angekommen sind – anders als bei TCP. Im Zweifel senden Clients die Pakete einfach erneut.
Antworten des DNS-Servers könnten daher gefälscht werden, ohne dass es jemand bemerkt. Ein Angreifer kann einem DNS-Client (Resolver) nahezu beliebige UDP-Pakete senden. Wenn der Resolver diese annimmt, legt er sie im lokalen Cache ab und gibt die falschen Daten eine Zeit lang als vermeintlich richtige Antwort an lokale Anwendungen wie den Webbrowser oder an andere Clients weiter. Im falschen Glauben, mit dem richtigen Dienst zu kommunizieren, tauschen die Programme der Anwender Daten aus. Eine unwichtige Datei? Benutzername und Kennwort? Zahlungsdaten an die vermeintliche Hausbank? Oder der Download von Malware vom scheinbar vertrauenswürdigen Update-Server? Herkömmliches DNS kennt keine wirksamen Maßnahmen dagegen
Das war die Leseprobe unseres heise-Plus-Artikels "Mit DNSSEC die Identität im Internet schützen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.